RADIUS (Remote Authentication Dial-In User Service) ha funcionado tradicionalmente como un protocolo basado en UDP, facilitando la comunicación entre clientes y servidores mediante pares atributo-valor (AVP) transmitidos en texto plano. RADIUS admite varios mecanismos de autenticación, incluidos PAP, PEAP, EAP-TLS, EAP-TTLS, MSCHAP, MSCHAPv2, EAP-MD5 y algunos otros.
El uso del protocolo RADIUS PAP sobre UDP es especialmente vulnerable, ya que el AVP User-Password se cifra usando únicamente un secreto compartido. Si un espía consigue acceder al secreto compartido, o puede adivinarlo o forzarlo mediante fuerza bruta, puede usarlo para descifrar el AVP User-Password y obtener acceso ilegítimo al dispositivo o la red protegidos.
Con protocolos como PEAP, EAP-TTLS, MSCHAP, MSCHAPv2 y EAP-MD5, las credenciales o los desafíos se transmiten dentro del protocolo EAP mediante el AVP EAP-Message. Aunque algunos protocolos EAP requieren cifrado de datos mediante TLS (donde un certificado de servidor valida el servidor para la transferencia cifrada de datos), los detalles del certificado de servidor en EAP-Message AVP, el atributo User-Name y otros AVP siguen intercambiándose en texto plano, como se muestra a continuación. Esto significa que los atacantes pueden obtener los detalles del certificado del servidor (C=AU, ST=Some-State, O=Internet Widgits Pty Ltd) y otra información del cliente, lo que compromete la privacidad aunque la seguridad siga intacta.
RADIUS basado en UDP puede transportar EAP-TLS, un protocolo muy seguro basado en certificados (en el que tanto el cliente como el servidor se validan mutuamente mediante el intercambio de certificados), pero la transmisión en texto plano del protocolo en el AVP EAP-Message sigue permitiendo que detalles importantes de los certificados del servidor y del cliente (a menudo, incluida la dirección de correo electrónico del usuario) sean visibles para quienes intercepten la comunicación, lo que compromete la privacidad.
Una vulnerabilidad descubierta recientemente para los protocolos no basados en EAP (PAP, CHAP) demuestra aún más los fallos del protocolo RADIUS basado en UDP, ya que los atacantes pueden obtener acceso a la red sin conocer el secreto compartido, como se detalla en https://blastradius.fail/attack-details.
Es importante distinguir entre una vulneración de la privacidad y una brecha de seguridad en este contexto. Una vulneración de la privacidad se produce cuando los datos del usuario en la transacción se hacen visibles para terceros que escuchan la comunicación, mientras que una brecha de seguridad implica que un atacante logra obtener acceso no autorizado a la red, un escenario considerablemente más grave.
Aunque el protocolo EAP-TLS basado en UDP, el más seguro, sigue presentando problemas de privacidad, RadSec ofrece una protección integral frente a vulnerabilidades tanto de privacidad como de seguridad.
RadSec representa una mejora significativa de la seguridad al encapsular todo el intercambio del protocolo RADIUS dentro de un túnel TCP seguro establecido mediante TLS mutuo. Este enfoque:
Establece un túnel seguro y cifrado mediante autenticación mutua basada en certificados antes de intercambiar cualquier dato, lo que garantiza que tanto el cliente como el servidor verifiquen la identidad del otro.
Proporciona conexiones TCP persistentes basadas en TLS mutuo entre cliente y servidor, lo que ofrece resistencia a las pérdidas de paquetes habituales con UDP
Evita la interceptación de información incluso si se intercepta el tráfico de red, ya que los datos no pueden descifrarse sin acceso a los certificados de cifrado
Elimina la dependencia de un único secreto compartido para la seguridad del transporte
Al ofrecer una protección mejorada para todo el intercambio del protocolo, RadSec no solo aborda de forma integral las preocupaciones de seguridad, sino también los problemas de privacidad de la capa de transporte presentes en las implementaciones tradicionales de RADIUS basadas en UDP, lo que lo convierte en un protocolo más seguro en general.
Ilustración de UDP RADIUS
La captura de Wireshark de abajo ofrece una demostración clara de cómo EAP-TLS RADIUS basado en UDP muestra sus vulnerabilidades de privacidad inherentes. La captura de paquetes revela múltiples intercambios RADIUS entre el cliente y el servidor RADIUS, mostrando la secuencia completa de mensajes Access-Request y Access-Challenge con sus correspondientes identificadores de paquete.
Al examinar la sección inferior de la captura se revela la carga útil de RADIUS, que muestra los pares atributo-valor (AVP) que contienen información confidencial de autenticación. Esto incluye el atributo User-Name con el valor "random@foxpass.com" junto con otros atributos como NAS-Identifier y Called-Station-Id. El volcado hexadecimal detallado de la derecha muestra el contenido bruto del paquete transferido mediante AVP, exponiendo claramente los datos del nombre de usuario, así como los detalles de los certificados del servidor y del cliente (sujeto del certificado: CN=Test Client, O=Test Organization, C=US), lo que supone un importante problema de privacidad.
Este problema de privacidad, además de las preocupaciones de seguridad tratadas en la sección anterior, es precisamente lo que RadSec fue diseñado para abordar. Al encapsular estos intercambios dentro de un túnel TLS seguro creado mediante validación mutua de certificados, RadSec evita exponer esos datos sensibles a posibles espías. Incluso el mecanismo de autenticación menos seguro de RADIUS, PAP, es muy seguro con RadSec.
Cómo funciona RadSec
RadSec mejora la seguridad al encapsular los intercambios del protocolo RADIUS tradicional dentro de un túnel TLS seguro, lo que garantiza que todas las transferencias de datos entre cliente y servidor permanezcan cifradas. A diferencia de su predecesor basado en UDP, RadSec establece una conexión TCP persistente en la que ambas partes se autentican mutuamente mediante certificados X.509 durante un protocolo de enlace TLS mutuo. Esta sólida validación bidireccional crea un túnel cifrado antes de que se produzca cualquier transmisión de datos RADIUS.
Una vez que se establece este canal seguro, los paquetes RADIUS estándar (Access-Request, Access-Challenge, etc.) viajan dentro de esta capa cifrada, lo que los protege eficazmente de escuchas e intentos de manipulación. La conexión persistente se mantiene durante toda la sesión, lo que ofrece mejoras significativas tanto en eficiencia como en seguridad en comparación con el enfoque de UDP RADIUS, que es propenso a la pérdida de paquetes.
Con el modelo de confianza basado en certificados, RadSec elimina las principales debilidades de seguridad del RADIUS tradicional, es decir, tanto la privacidad como la seguridad. Normalmente, al operar a través del puerto TCP 2083 (aunque esto se puede configurar), RadSec ofrece una protección integral para todo el canal de comunicaci�ón. Este enfoque integral hace que RadSec sea muy resistente al análisis de paquetes, los ataques de repetición y los ataques de intermediario.
RadSec en Foxpass: infraestructura de autenticación global, escalable y de baja latencia
Hemos creado autenticación RADIUS con una implementación de RadSec de última generación que ofrece alto rendimiento, fiabilidad y accesibilidad global.
Nuestro servicio RadSec está diseñado para cumplir con los requisitos de conectividad más exigentes en diversos entornos globales. Hemos creado una arquitectura multiinquilino con escalado horizontal en la que los clientes que se conectan a nuestros servidores siempre se conectan al servidor disponible más cercano.
Proximidad global, conectividad instantánea y gestión sin esfuerzo
Nuestra implementación global garantiza que cada cliente se conecte al servidor RadSec más cercano, lo que reduce drásticamente la latencia y mejora los tiempos de respuesta. A los clientes solo se les proporciona un único nombre de host DNS, pero los clientes se conectan automáticamente al servidor más óptimo según la proximidad geográfica.
El RadSec de Foxpass admite dos opciones para gestionar los certificados de cliente. Foxpass puede emitir certificados desde nuestra CA compartida, o los clientes pueden cargar fácilmente sus certificados de CA a través de nuestra consola intuitiva, que propaga rápidamente estas credenciales por toda nuestra red global de servidores, lo que garantiza que solo los clientes autenticados obtengan acceso.
Escala y rendimiento sin precedentes
Cada una de nuestras instancias de servidor RadSec está diseñada para gestionar más de 15.000 conexiones simultáneas, lo que proporciona una autenticación sólida y fiable a una escala que satisface las exigencias de nivel empresarial.
Aspectos destacados
Implementación de RadSec escalable horizontalmente y multiinquilino
Red global de servidores con enrutamiento inteligente
Capacidad masiva de conexión (más de 15.000 conexiones por instancia)
Experiencia de autenticación fluida y de baja latencia
Comienza hoy con Foxpass
¿Listo para mejorar la seguridad de tu autenticación? Foxpass ofrece protección de nivel empresarial, rendimiento global y una implementación sin complicaciones. Tanto si proteges las credenciales de usuario como si gestionas el acceso basado en certificados a gran escala, nuestra implementación de RadSec garantiza que tus datos se mantengan privados y protegidos.
Comenzar una prueba gratuita de Foxpass hoy y descubre la diferencia de una infraestructura de autenticación segura, escalable y moderna.
Agradecimientos:
Nos gustaría dar las gracias a todo el equipo por poner esto a disposición de nuestros clientes en todo el mundo.
